NET2: appliance gateway di output di subnet

Informazioni di riferimento › Guida di riferimento al catalogo delle appliance › Catalogo di sistema › Gateway › NET2: appliance gateway di output di subnet

NET2: appliance gateway di output di subnet

Ultima versione: 1.0.0-1


In breve
Catalogo	Sistema
Categoria	Gateway
Volumi dell'utente	no
Num. minimo memoria	96 MB
OS	Linux
Vincoli	no
Domande/commenti	Fare richieste al forum

Panoramica funzionale

NET2 è un gateway di output che consente l'accesso in uscita a una rete esterna all'applicazione. NET2 accetta il traffico dall'applicazione sul proprio terminale di ingresso e lo inoltra mediante il proprio terminale di uscita alla rete esterna (ad esempio, Internet).

NET2 ha un firewall che autorizza soltanto il traffico in uscita (connessioni e datagrammi); fa cadere il traffico in entrata che non è per un connection già stabilito o si riferiva a una richiesta di datagramma. NET2 può essere configurato per restringere ulteriormente la serie di indirizzi IP che lo possono attraversare.

NET2 serve come gateway di rete predefinito e come server DNS per la(e) appliance connesse al suo terminale IN.

Nota: soltanto i terminali di output del gateway devono essere connessi al terminale di ingresso di NET2.

NET2 permette di accedere ai servizi esterni a un'applicazione i cui nomi host sono determinati durante il runtime (ad esempio, gli indirizzi di server di posta elettronica ottenuti dai record di MX DNS o i bot dei motori di ricerca che devono attraversare il Web).

Limite

Risorse

Risorsa	Minimo	Massimo	Predefinito
CPU	0.05	4	0.05
Memoria	96 MB	2 GB	96 MB
Larghezza di banda	1 Mbps	2000 Mbps	200 Mbps

Terminali

Name	Direzione	Protocollo	Description
in	in	qualsiasi	Accetta tutto il traffico in entrata
out	out	qualsiasi	Inoltra tutto il traffico alla rete esterna (ad esempio, Internet)
mon	out	cce	Output per le statistiche di utilizzo delle risorse e delle prestazioni

Il terminale di uscita è utilizzato per il traffico in uscita. Questo terminale viene configurato mediante la scheda Interfacce dell'editor di Configurazione applicazione.

L'interfaccia predefinita è abilitata. Serve per la manutenzione (connessioni ssh in entrata).

Volumi di utente

Nessuno

Proprietà

Name	Tipo	Description
dns1	Indirizzo IP	Definisce l'host remoto per inoltrare il traffico a. Questo può essere il nome DNS dell'host o l'indirizzo IP in notazione di "punti". Questa proprietà è obbligatoria.
dns2	Indirizzo IP	L'intervallo di polling, in secondi, che il OUT2 utilizza nella verifica del mapping del nome DNS di remote_host all'indirizzo IP (usato solo se remote_host è specificato come nome DNS). Impostare su 0 per disabilitare il polling e non effettuare la rilevazione delle modifiche. Predefinito: 3600 secondi (1 ora).
allowed_hosts	Stringa	Definisce il server DNS primario. Può essere lasciato vuoto se l'host remoto è specificato dal suo indirizzo IP; deve essere indicato negli altri casi. L'impostazione predefinita è vuota.
denied_hosts	Stringa	Definisce il server DNS secondario, che verrà usato se il server DNS primario non risponde. Predefinito è vuoto (non utilizzato).

Messaggi di errore

I seguenti messaggi possono apparire nei file di log e nel log di sistema del controller di griglia quando l'appliance non riesce ad avviarsi:

impossibile avviare gli iptables
impossibile avviare il servizio denominato
Impossibile impostare le regole (codice di uscita code); tramite il set di regole di backup
Impossibile impostare il set di regole di backup (codice di uscita code)

Uso tipico

Il seguente diagramma mostra un uso tipico di NET2 di una semplice applicazione di server di posta elettronica che accede a Internet per l'inoltro della posta usando NET2:

Riepilogo di parti

in2 - appliance del gateway di input, classe IN2
postino - appliance di server SMTP, classe MTA
net2 - appliance del gateway di output, classe NET2

in2 trasmette le connessioni in entrata al server del postino. Il postino serve la richiesta di posta e invia la posta in uscita attraverso il gateway net2. Il messaggio è inviato in due fasi per ciascun messaggio: prima, viene inviata una richiesta DNS al server di posta di destinazione e dopo il messaggio è inviato a quel server. Il gateway net2 inoltra la richiesta del DNS dal server postino al server DNS specificato ed esegue la connessione al server di posta di destinazione.

Le sezioni seguenti descrivono la configurazione di NET2 in diversi casi di utilizzo tipici:

Accesso illimitato ai domini standard

In questa modalità, NET2 è configurato in modo molto simile a un gateway di rete regolare (ad esempio, per la connessione a una LAN a Internet usando ISP).

Esempio:

Un indirizzo IP valido deve essere configurato per il terminale di uscita dal pool di indirizzi IP disponibili fornito dal controller di griglia. La maschera di rete e il gateway per il terminale di uscita vengono selezionati automaticamente dal controller di griglia.

Nome della proprietà	Valore	Description
dns1	192.168.1.2	Server DNS primario.
dns2	192.168.1.2	Server di backup DNS.

Nota: molte aziende dispongono di domini interni che è possibile risolvere soltanto mediante i loro server DNS privati (ad esempio, .local o .localdomain). Per utilizzare tali domini, configurare le proprietà di dns1 e dns2 in modo che puntino ai server DNS privati. Consultare anche le possibili restrizioni di host di seguito.

Accesso illimitato a domini standard mediante i server DNS principali.

In questa modalità, NET2 non deve specificare i server DNS e usa un set di server principali Internet preconfigurati.

Esempio:

In questa modalità, NET2 deve accedere ai server DNS principali (altrimenti NET2 non risolverà alcuna query di DNS).

Accesso illimitato a domini standard mediante i server DNS principali.

In questa modalità, NET2 non deve specificare i server DNS e utilizza un set di server principali Internet preconfigurati.

Esempio:

Importante: In questa modalità, NET2 deve accedere ai server DNS principali (altrimenti NET2 non risolverà alcuna query di DNS).

Accesso limitato ai domini privati

In questa modalità, NET2 può accedere soltanto alle reti specificate, permettendo e negando host e subnet specifiche.

Esempio:

Nome della proprietà	Valore	Description
dns1	192.168.1.2	Server DNS primario.
dns2	192.168.1.2	Server di backup DNS.
allowed_hosts	192.168.1.0/24 192.168.2.0/24	Subnet autorizzate.
denied_hosts	192.168.1.0/24 192.168.2.0/24	Questi indirizzi IP non saranno raggiungibili.

Nota: in questa modalità, i server DNS devono rientrare nel set di host autorizzati.

note

In generale, l'unico tipo di terminale di output che dovrebbe essere connesso a NET2 nel terminale IN è un output di gateway. Questi output differiscono da quelli regolari perché fungono da "gateway predefiniti" per le loro appliance, permettendo la connessione a host multipli (al contrario dell'accesso a host unico fornito dagli output regolari). Gli output di gateway sono mostrati visivamente da un quadrato blu a forma di terminale, mentre gli output regolari sono indicati da frecce rosse; consultare l'esempio sull'utilizzo presentato sopra.

Per ulteriori informazioni sui tipi di terminale di output, fare riferimento alla Guida di riferimento del linguaggio ADL.

La connessione di un output regolare al gateway di NET2 fornisce soltanto le risoluzioni del DNS. Questo è un uso valido del gateway di NET2 (essenzialmente un servizio di risoluzione DNS).
Se è presente un host, direttamente o come parte di un subnet, negli elenchi di allowed_hosts e negli elenchi di denied_hosts, NET2 negherà l'accesso a quell'host. NET2 respinge tutti gli host negati e quindi autorizza soltanto quelli negli host consentiti (pratica di protezione standard).
Se l'applicazione in uso non richiede l'accesso a tutta la rete ma a un host specifico (ad esempio, ftp.CA.com), si consiglia di utilizzare l'appliance di gateway OUT2.
NET2 non è utilizzato per fornire le richieste in entrata a un'applicazione. È possibile gestire la richiesta in entrata usando l'appliance di gateway IN2.

Questa appliance usa software Open Source e di terze parti

NET2 usa i seguenti pacchetti open source di terze parti oltre ai pacchetti Open Source di terze parti usati dalla loro classe di base LUX6.

Software	Versione	Modificato	License	note
bind	9.8.2-0.10.rc1.el6_3.2	No	ISC license	pagina di download
bind-libs	9.8.2-0.10.rc1.el6_3.2	No	ISC license	pagina di download
iptables	1.4.7-5.1.el6_2	No	GPLv2	pagina iniziale
audit-libs	2.2-2	No	GPLv2	N/A
audit-libs-python	2.2-2	No	GPLv2	N/A
dbus	1.2.24-5.el6_1	No	AFLv2.1	N/A
dbus-libs	1.2.24-5.el6_1	No	GPLv2	N/A
libselinux-python	2.0.94-5.3	No	Dominio pubblico	N/A
libselinux-python	2.0.94-5.3	No	Dominio pubblico	N/A
libselinux-utils	2.0.94-5.3	No	Dominio pubblico	N/A
libsemanage	2.0.43-4.1	No	GPLv2	N/A
libsepol	2.0.41-4	No	LGPLv2.1	N/A
policycoreutils	2.0.83-19.24	No	GPLv2	N/A